Upoważnienie do przetwarzania danych

Upoważnienie do przetwarzania danych osobowych stanowi wyraz wykonania obowiązku, określonego w art. 32 ust. 4 w zw. z art. 29 RODO, do podejmowania działań w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora (podmiot przetwarzający), chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. 

             

             Celem nałożonego obowiązku jest czuwanie nad kręgiem podmiotów przez które dane osobowe są przetwarzane, czy inaczej – by dostęp do danych osobowych posiadały osoby wskazane przez administratora, zaś osoby upoważnione do przetwarzania danych osobowych przetwarzały je na zasadach i w sposób określony przez administratora (czyli zgodnie z poleceniem administratora).

Administrator (podmiot przetwarzający) może upoważnić inną osobę do nadawania upoważnień do przetwarzania danych osobowych, choć w ocenie PUODO wydawanie upoważnień osobiście przez osobę kierującą lub zarządzającą podmiotem będącym administratorem (podmiotem przetwarzającym) może istotnie wpłynąć na zapewnienie kontroli nad prawidłowym przebiegiem ich wydawania. Osobą, o której mowa w zdaniu poprzedzającym nie powinna być jednak osoba wyznaczona na stanowisko Inspektora Ochrony Danych (IOD), albowiem powoduje to konflikt interesów (art. 38 ust. 6 RODO). Do zadań IOD należy, bowiem monitorowanie przestrzegania przepisów o ochronie danych osobowych i ustanowionych przez administratora (podmiot przetwarzających) wewnętrznych polityk z zakresu ochrony danych osobowych (zob. art. 39 RODO) Podobne stanowisko wyraził PUODO (zob. Czy IOD może nadawać upoważnienia).

Oprócz tego, nadanie upoważnień do przetwarzania danych osobowych stanowi rodzaj zabezpieczenia przetwarzanych danych osobowych.

Art. 32 ust. 1 RODO

Administrator i podmiot przetwarzający mają obowiązek, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. 

Należy podzielić pogląd K. Witkowskiej – Nowakowskiej, że upoważnienie do przetwarzania danych osobowych do działania z upoważnienia administratora (podmiotu przetwarzającego) należy udzielić nie tylko osobom przetwarzającym dane osobowe, które są zatrudnione na umowę o pracę, czy w oparciu o cywilnoprawne formy zatrudnienia. O udzieleniu upoważnienia do przetwarzania danych osobowych należy również pamiętać w przypadku praktykantów, stażystów, a nawet osoba współpracującą i prowadzącą działalność gospodarczą. Generalnie przyjmuje się, że osoba upoważniona do przetwarzania danych osobowych powinna być w pewien sposób zależna od administratora i nie powinna posiadać uprawnienia do decydowania o przetwarzaniu danych osobowych. Dodatkowo powinna działać w ramach organizacji administratora (podmiotu przetwarzającego) (K. Witkowska-Nowakowska, komentarz do art. 29 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak -Jomaa, D. Lubasz, Lex).

Pomimo licznych stanowisk przedstawicieli doktryny odnoszących się do formy pisemnej upoważnienia, dalej pojawiają się wątpliwości co do możliwości udzielania upoważnienia do przetwarzania danych osobowych w formie elektronicznej. Mając na uwadze jedną z naczelnych zasad RODO – zasadę rozliczalności (art. 5 ust. 2 RODO) dopuścić należy udzielenie przedmiotowego upoważnienia w formie elektronicznej, także stworzonego i podpisanego w dedykowanym temu procesowi systemie teleinformatycznym (tak PUODO [w:] Czy elektroniczna postać upoważnienia spełnia wymogi „pisemnego upoważnienia”?).

Upoważnienie do przetwarzania danych osobowych powinno zawierać takie dane jak:

  1. datę i miejscowość wydania upoważnienia
  2. oznaczenie, że dokument jest „upoważnieniem do przetwarzania danych osobowych” (choć będzie to wynikać z jego treści)
  3. podstawę prawną udzielonego upoważnienia (np. na podstawie art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1 ze zm.)
  4. imię i nazwisko, ewentualnie stanowisko osoby, która ma być upoważniona do przetwarzania danych osobowych
  5. zakres upoważnienia do przetwarzania danych osobowych
  6. okres ważności udzielonego upoważnienia (w przypadku udzielania ich bezterminowo, należy pamiętać o ich odwołaniu)
  7. zobowiązanie do:
    • do działania zgodnie z udzielonym upoważnieniem
    • zachowania poufności
    • przestrzegania przepisów o ochronie danych osobowych
    • przestrzegania zasad obowiązujących w firmie
  8. podpis osoby upoważniającej
  9. podpis osoby upoważnionej 

W praktyce nadanie upoważnienia powinno być związane z podpisaniem przez osobę odbierającą upoważnienie oświadczenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych, zasadami obowiązującymi w organizacji (firmie) oraz o przyjęciu do wiadomości obowiązku zachowania tajemnicy, przestrzegania przepisów o ochronie danych osobowych oraz działania zgodnie z udzielonym upoważnieniem. W przypadku zawarcia oświadczenia i upoważnienia w jednym dokumencie należy pamiętać o podpisie osoby składającej oświadczenie, a także dwóch egzemplarzach upoważnienia (1 dla organizacji, 1 dla upoważnionego, składającego oświadczenie).

Zakresy upoważnień do przetwarzania danych osobowych powinny być ustalone tak, aby zapewnić realizację obowiązku kontrolowania przez administratora (podmiot przetwarzający) przetwarzania przez osoby upoważnione danych osobowych, w tym czy osoby upoważnione do przetwarzania danych osobowych mają faktyczny dostęp do danych osobowych tylko w zakresie udzielonych upoważnień.

Źródła:

  1.  Stanowisko PUODO z dnia 29.11.2019 r., Czy IOD może nadawać upoważnienia? (online:) https://uodo.gov.pl/pl/225/1277, [dostęp: 24.01.2020 r.]
  2. Stanowisko PUODO z dnia 29.11.2019 r., Czy elektroniczna postać upoważnienia spełnia wymogi „pisemnego upoważnienia”?, https://uodo.gov.pl/pl/225/1278, [dostęp: 24.01.2020 r. ]
  3. K. Witkowska-Nowakowska, komentarz do art. 29 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak -Jomaa, D. Lubasz, Lex
  4. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1 ze zm.

Aktualizacja 08.08.2020 r.